УДК 519.713.1 


А.Н. Чеботарев, А.Л. Головинский 
Институт кибернетики им. В.М. Глушкова НАН Украины, г. Киев 
апсвеБ@ота!.сот, 2ооуштзКу.апапу@етай.сот 


Доказательное проектирование алгоритмов 
функционирования реактивных систем 


Описывается подход к доказательному проектированию реактивных алгоритмов, развиваемый в 
Институте кибернетики имени В.М. Глушкова НАН Украины. Рассматриваются основные проблемы, 
возникающие при проектировании реактивных алгоритмов, специфицированных в логическом языке 
Г, и методы их решения. 


Введение 

Под реактивными системами понимаются системы, постоянно взаимодейст- 
вующие со своим окружением. Это, как правило, системы реального времени, работа 
которых заключается в выработке реакции на изменяющуюся входную информацию. 
Примерами реактивных систем могут служить телекоммуникационные сети, систе- 
мы управления технологическими процессами, системы управления летательными 
аппаратами и др. 

Ошибки в функционировании таких систем, как системы управления ядерными 
реакторами, химическим производством, средствами космической техники могут 
привести к катастрофическим последствиям, связанным с большими материальными 
потерями и человеческими жертвами. Поэтому к надежности и безошибочности 
функционирования такого рода систем предъявляются чрезвычайно высокие 
требования. В частности, необходимо, чтобы алгоритм функционирования системы 
точно соответствовал требованиям, определяемым его исходной спецификацией. Этого 
можно достичь применением строгих методов корректного проектирования алгоритмов 
функционирования реактивных систем (реактивных алгоритмов), причем большое 
значение имеет обеспечение корректности алгоритма на начальных этапах его 
разработки, поскольку стоимость устранения ошибок, допущенных на этих этапах, 
наиболее велика. 

В методах корректного проектирования реактивных алгоритмов, используемых 
на начальных этапах их разработки, можно выделить два основных подхода: 

а) формальная верификация неформально полученного процедурного пред- 
ставления алгоритма, 

6) использование математически обоснованных формальных методов для 

преобразования декларативной спецификации требований к функционированию 
алгоритма в высокоуровневое императивное (процедурное) его представление. 
При первом подходе доказывается, что полученный алгоритм обладает некоторыми 
необходимыми свойствами, но не гарантируется, что поведение алгоритма будет в 
точности соответствовать его назначению. При втором подходе, называемом 
синтезом, гарантируется точное соответствие между исходной спецификацией 
алгоритма и ее процедурной реализацией. В этом случае исходная спецификация 
должна отражать все требования к функциональному поведению проектируемого 
алгоритма. 
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Указанные подходы имеют ряд общих черт. Как при первом, так и при втором 
подходах для задания исходной спецификации алгоритма или его свойств используются 
декларативные языки. Как правило, это логические исчисления, позволяющие явно или 
неявно вводить понятие времени в спецификацию алгоритма. Некоторые методы 
верификации реактивных алгоритмов, в частности, методы проверки выполнимости 
спецификации на модели (то4е| сНескп®), так же как и методы второго подхода, 
используют процедуру синтеза автомата по логической спецификации свойств 
алгоритма, однако характер решаемых задач, их размерность и методы решения в этих 
двух подходах существенно различаются. Так, при первом подходе решается задача 
синтеза автомата-распознавателя, а при втором — автомата-преобразователя, что 
обусловливает различие языков спецификации. Кроме того, размерность задачи синтеза 
при втором подходе на несколько порядков превосходит размерность аналогичной 
задачи при первом подходе. Поэтому методы синтеза автоматов, используемые при 
верификации, не могут использоваться в рамках второго подхода при проектировании 
реальных алгоритмов. 

Синтез алгоритма — это не однократный акт, а последовательность преобразо- 
ваний, осуществляемых, как правило, с участием человека. При этом результат синтеза 
алгоритма будет гарантированно удовлетворять исходной спецификации лишь в том 
случае, если корректность каждого преобразования, осуществляемого в процессе син- 
теза, будет формально доказана. Это касается не только преобразований, выполняемых 
автоматически (корректность которых обеспечивается формальным доказательством 
корректности соответствующих методов), но и осуществляемых с участием человека. 
Таким образом, всякое вмешательство человека в процесс проектирования должно 
контролироваться системой проектирования, отвергающей ошибочные действия разра- 
ботчика. Такую методологию проектирования реактивных алгоритмов будем называть 
доказательным проектированием. 

В настоящей статье описывается подход к доказательному проектированию 
реактивных алгоритмов, развиваемый в Институте кибернетики имени В.М. Глуш- 
кова НАН Украины, рассматриваются основные проблемы, возникающие при 
проектировании реактивных алгоритмов, специфицированных в языке Г, и методы 
их решения. 


Язык спецификации 


В основе рассматриваемого подхода к доказательному проектированию алгоритма 
лежит спецификация функциональных требований к нему в языке логики первого 
порядка с одноместными предикатами и формальный переход от этой спецификации к 
процедурному представлению алгоритма. Специфицируемый алгоритм представляется 
в виде двух частей: управляющей и операционной, взаимодействующих между собой и 
с внешней средой. Взаимодействие между управляющей и операционной частями 
осуществляется через двоичные каналы. Взаимодействие с внешней средой осуществ- 
ляется как через информационные каналы, так и через двоичные каналы. Логическая 
спецификация алгоритма определяет описание его управляющей части и тех аспектов 
операционной части и внешней среды, которые относятся к взаимодействию управ- 
ляющей и операционной частей между собой и с внешней средой. Таким образом, 
логическая спецификация алгоритма состоит из трех частей: спецификаций управ- 
ляющей части, операционной части и внешней среды. В качестве математической 
модели каждой из перечисленных частей спецификации рассматривается конечный 
автомат. Составляющие части алгоритма удобно специфицировать как неинициальные 
системы, отдельно задавая начальное условие, определяющее начальные состояния 
соответствующих автоматов. 
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Один из основных вопросов, связанных с проблемой спецификации свойств 
алгоритма, состоит в выборе или разработке подходящего языка спецификации. 

Идея использования логического языка для спецификации конечных автоматов 
восходит к работам Черча [1], Бюхи [2] и Б.А. Трахтенброта [3], [4]. В этих работах 
построен ряд языков, основанных на логике одноместных предикатов от натурального 
аргумента, и приведены соответствующие алгоритмы синтеза автоматов. Однако 
полученные в то время результаты не стимулировали применения логических методов 
для спецификации и проектирования программ или схем, поскольку носили сугубо 
теоретический характер. В настоящее время существует большое количество языков для 
спецификации реактивных алгоритмов. К ним относятся языки, основанные на 
различных темпоральных логиках, наибольшее распространение из которых получили 
СТР [5], СТЕ [6], СТЕ* [7], а также языки, основанные на операторах наименьшей и 
наибольшей неподвижной точки [8]. Эти языки, как правило, используются в системах 
верификаии, однако сложность решения для них задач синтеза такова, что вряд ли 
можно надеяться на применение их для решения практических задач. Существенного 
увеличения эффективности алгоритмов синтеза можно добиться путем разумного 
ограничения выразительных возможностей языка спецификации. При этом приходится 
искать компромисс между выразительными возможностями языка и сложностью 
алгоритмов проектирования. Для разрешения этого противоречия предлагается 
использовать два уровня языка: язык исходной спецификации [^ [9], обладающий 
достаточными для практических нужд выразительными возможностями и обеспечи- 
вающий удобство записи исходных требований к алгоритму, и внутренний язык Г [10], 
обладающий сравнительно ограниченными выразительными возможностями, но 
эффективно обрабатываемый процедурами синтеза. Отметим, что название «внутрен- 
ний язык» довольно условное, поскольку во многих случаях он может выступать в 
качестве языка исходной спецификации. Оба языка построены на основе соответ- 
ствующих фрагментов логики предикатов первого порядка с одноместными преди- 
катами, определенными на множестве моментов дискретного времени, в качестве 
которого выступает множество 7 целых чисел. При этом имеется возможность 
спецификацию в языке [^^ преобразовать в спецификацию в языке /. 

Спецификация в языке Г имеет вид У, где ЁЕ(®) — формула, построенная с 
помощью логических связок из атомов вида р(1 + К). Здесь р — предикатный символ, #— 
переменная, принимающая значения из множества 7, а К — целочисленная константа 
(сдвиг во времени), называемая рангом соответствующего атома. Язык [* отличается 
от языка Ё тем, что при построении ЁЕ({) используется еще конструкция: Эй(& < 
1+1) & ЕКВ) & УЕ + Ю < < 1+ №) >Е(Е)), где №, №, Аз Е 7, Е2(1;) — формула языка 
[, а РЕКЕ) — формула языка [*. 

При определении автоматной семантики языков спецификации эти языки и 
автоматы рассматриваются как формализмы для задания множеств сверхслов 
(бесконечных слов) в алфавите УХ двоичных векторов. Этот алфавит определяется 
набором предикатных символов языка спецификации, которые, в свою очередь, 
соответствуют входным и выходным двоичным каналам синтезируемого автомата. 
Определим необходимые понятия, касающиеся сверхслов и автоматов. 

Пусть У, — конечный алфавит, 7, — множество целых чисел и №' = {Е 7 |[2> 0}. 
Отображения и: 7, -> Х и [№->»У называются соответственно двусторонним 
сверхсловом (обозначается ...и(—2)и(-—Ги(0)и(Ти(2)...) и сверхсловом (обозначается 
КИД2)... ) в алфавите У. Для двустороннего сверхслова и и и Ее #, определим и-суффикс 
и(п-1, со) как сверхслово и(и+Пи(и-2)... 
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Конечный неинициальный Х-—У-автомат Мили А - это четверка А = <Х, У, О, д>, 
где Х, У, О - конечные множества соответственно входных символов, выходных 
символов и состояний, а 8: ОхХхУ — 2° — функция переходов автомата. 

Х-У-автомат Мили называется квазидетерминированным, если для любых 4 Е О, 
хЕ ЛХ уе У 06(4, х, у)| < 1. Квазидетерминированные Х-У-автоматы удобно 
рассматривать как детерминированные частичные автоматы без выхода, с входным 
алфавитом > = ХХУ. Такой автомат А = <», О, 6>, где 0: Охх -> О - частичная 
функция, будем называть Х-автоматом. 

У-автомат А = <», О, 6> называется циклическим, если для каждого 4 Е О, 
существуют такие о1, 02 Е Хи41, 42 Е О, что 41 Е 5(4, ©) ИДЕ 6(4>, 62). 

Циклический автомат может быть однозначно охарактеризован в терминах 
допустимых сверхслов. 


Сверхслово / = о1,02, ... в алфавите » допустимо в состоянии 4 автомата А, 
если существует такое сверхслово состояний 404142..., где до = 4, что для любого 
1=0, 1,2,... ани = 6(4ь он. Сверхслово [ допустимо для автомата А, если оно 


допустимо в каком-либо из его состояний. 

Перейдем теперь к описанию сверхсловарной семантики языка Г. Каждой 
замкнутой формуле Г ставится в соответствие множество моделей для этой формулы, 
т.е. множество таких интерпретаций, на которых Ё истинна. Пусть © = {рь, ..., Ри! — 
множество всех одноместных предикатных символов, встречающихся в формуле 2. 
Интерпретация формулы Е — это упорядоченный набор определенных на #, 
одноместных предикатов ли, ..., Ли, соответствующих предикатным символам из 62. 
Пусть У — множество всех двоичных векторов длины т, тогда интерпретацию 
[= <Ль, ..., Пы>, можно представить в виде двустороннего сверхслова в алфавите У, а 
множество всех моделей для Г -— в виде множества Ме двусторонних сверхслов в этом 
алфавите. Будем полагать, что формула ЕЁ’ = У\® языка Г задает множество всех 0-суф- 
фиксов двусторонних сверхслов из МЕ. 

Теорема 1 [11]. Для всякой непротиворечивой формулы РЁ вида У (®) существует 
в общем случае частичный неинициальный циклический автомат А, для которого 
множество всех допустимых сверхслов совпадает с множеством сверхслов, задаваемых 
формулой 2. 

Это определяет автоматную семантику языка /. 


Проверка непротиворечивости 


Проверка непротиворечивости как исходной спецификации, так и различных 
промежуточных спецификаций, получаемых в процессе синтеза алгоритма, имеет 
принципиальное значение для методологии доказательного проектирования. Соответст- 
вующая процедура используется в процессе проектирования не только для проверки 
внутренней непротиворечивости спецификации, но также для преобразования ее к виду, 
необходимому для применения других алгоритмов проектирования. Проверка непроти- 
воречивости используется также для проверки корректности решений (изменений 
спецификации), принимаемых разработчиком при интерактивном процессе проекти- 
рования. Поэтому необходимы достаточно эффективные методы решения этой 
проблемы. 

Для проверки непротиворечивости исходной спецификации используются 
резолюционные методы логического вывода [12-14], эффективность которых 
удалось существенно повысить за счет учета специфики предметной области. 


774 «Искусственный интеллект» 32008 


Доказательное проектирование алгоритмов функционирования... 8-Ч 


Формулу, получающуюся из Е(#) путем прибавления константы К к рангам всех 
ее атомов, обозначим Р(Е + А). Поскольку формулы интерпретируются на множестве 
целых чисел, для любого К е #, имеет место эквивалентность У (0) < У + К). Это 
позволяет ограничиться рассмотрением только таких формул, в которых максималь- 
ный ранг атомов равен нулю (нормализованные вправо формулы). 

Пусть ЕСО задана в виде к.н.ф., все элементарные дизъюнкции которой 
нормализованы вправо. Как обычно, элементарную дизъюнкцию литер будем назы- 
вать дизъюнктом. Дизъюнкт, не содержащий литер, называется пустым. К.н.ф. 
формулы Ё(0) будем задавать в виде множества дизъюнктов. 

Пусть ст и с2 — нормализованные вправо дизъюнкты, р({) — атом нулевого ранга 
ис! = сл У р@, а с› = съ м —р(®. Дизъюнкт с = с1 М с> называется К-резольвентой 
дизъюнктов с! И С> ПО атому р(1. 

Операцию получения К-резольвенты двух дизъюнктов будем называть В-резоль- 


вированием. 
Е-выводом дизъюнкта с из множества дизъюнктов С называется такая конечная 
последовательность дизъюнктов с1ь ..., Ск, Что ск = си каждый дизъюнкт с; (1= 1, ..., К) 


либо принадлежит С, либо является К-резольвентой двух предшествующих 
дизъюнктов, либо есть результат нормализации вправо дизъюнкта с!.1. 

Справедливо следующее утверждение. Множество С нормализованных вправо 
дизъюнктов противоречиво тогда и только тогда, когда существует К-вывод пустого 
дизъюнкта из С. 

Процесс проверки непротиворечивости множества дизъюнктов С можно 
представить в виде поочередного выполнения следующих двух операций: 

а) построение замыкания С относительно резольвирования по атомам нулевого 
ранга, 

6) нормализация вправо всех ненормализованных дизъюнктов. 

Процесс проверки выполнимости формулы заканчивается, если после очередного 
выполнения операции а) полученное множество дизъюнктов будет содержать пустой 
дизьъюнкт, что свидетельствует о противоречивости формулы У, либо новые 
дизъюнкты не появятся, все дизьюнкты будут нормализованы вправо и полученное 
множество дизъюнктов не содержит пустого дизьюнкта. Вторая альтернатива имеет 
место в случае выполнимости формулы. 

Дизъюнкт с1(®) поглощает дизъюнкт с2(1), если существует такое А е #, что 
все литеры из с(!Ё+ К) содержатся среди литер дизъюнкта с2(1). Удаление из 
множества дизъюнктов, представляющих формулу У (0, дизъюнктов, поглощаемых 
другими дизъюнктами этого множества, приводит к множеству дизъюнктов, 
задающих формулу, эквивалентную (т.е. имеющую то же множество моделей в 
рассматриваемом классе интерпретаций) формуле У. 

Описанная выше процедура может быть усовершенствована за счет удаления в 
процессе ее выполнения дизъюнктов, поглощаемых другими дизъюнктами, принадле- 
жащими преобразуемому множеству. Усовершенствованную таким образом процедуру 
будем называть пополнением множества дизъюнктов. 

Теорема 2 [12]. Формула УШ(®), заданная множеством С нормализованных 
вправо дизъюнктов, невыполнима тогда и только тогда, когда в процессе пополнения 
С будет получен пустой дизъюнкт. 

Эффективность рассмотренного метода обусловлена сокращением множества 
порождаемых дизъюнктов за счет ограничения вида литер, по которым допускается 
резольвирование, литерами нулевого ранга. При этом отпадает необходимость 
выполнения унификации, что также повышает эффективность метода. В [13], [14] 
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описаны усовершенствования рассмотренного метода, связанные с разбиением 
множества Дизъюнктов на несколько классов и запрещением резольвирования 
дизъюнктов, принадлежащих различным классам, что существенно сокращает 
количество дизъюнктов, порождаемых в процессе пополнения. 


Синтез 


Методы синтеза управляющей части алгоритма основаны на теореме о специ- 
фикации [9], устанавливающей связь между структурой некоторого представления 
формулы в языке спецификации и структурой соответствующего автомата, определен- 
ной в терминах множества состояний и функций переходов и выходов. Это приводит к 
понятию нормальной формы формулы Ё(@) языка Г. 


п 
Пусть Е) = \/ ЕЕ 8, где Е(Е-1) — формула, максимальный ранг атомов в 

= 
которой не превышает —1, а /(Р) — формула, построенная из атомов ранга 0. 
Представление РЁ (1) в таком виде будем называть дизъюнктивным представлением, а 
конъюнкцию вида Ё(1-1)&)(0) — компонентой такого представления с левой частью 
Е(Е-1) и правой частью /(\. Дизъюнктивное представление удовлетворяет условию 


ортогональности, если для! =] (ре {1,..., п) Е(-О&ЕКЕТ) = 0. Дизъюнктивное 
представление формулы ЁЕ(0, удовлетворяющее условию ортогональности, называется 
нормальной формой, если для любых 1] =1,..., и коньюнкция Р(Е-1)& (0 &Е (В либо 


тождественно равна нулю, либо равна ЁР(1-1)&/1), где /(0) — не равная тождественно 
нулю формула, построенная из атомов нулевого ранга. 

Пусть О = {рь, ..., Ра} — множество всех предикатных символов, встречающихся в 
Е®, а Х(О) — множество всех двоичных векторов длины 4. Символу © Е %(6) 
соответствует элементарная конъюнкция © (1) вида р, (1& ... & В, (1), где ‚(0 е 


Е {р;(1), —-р(0}. Спецификации Е = У, в которой Ё(®) представлена в нормальной 
форме, соответствует Х-автомат А(Ё) с входным алфавитом %(62), состояниями 41, ..., ав 
и функцией переходов 6, определяемой следующим образом. Для с е %(©) ид, 4 Е 
Е {41, ..., 9.} О(4ь ©) = 4; тогда и только тогда, когда Ё\(#-1) & (0) & 6(8 & Е(д = 
= Е(Е-1) & 6 (0. Из теоремы о спецификации следует, что автомат А(Р), удовлетворяет 
спецификации А. 

Построение автомата А(Р) состоит из двух основных этапов: 1) построения 
дизъюнктивного представления формулы Ё({), удовлетворяющего условию 
ортогональности, и 2) построения нормальной формы формулы А(®). 

На первом этапе требуемое представление получается путем последователь- 
ного применения к парам компонент дизъюнктивного представления соотношения: 


ЕН) & ЛО У Е & Л > ЕП & ЗЕ (-П & ЛОУ ФЕТ) & ЕКи) & ДО У 
у Е(Е-1) & Е (1-1) & Д@м ЛО). 
На втором этапе для получения нормальной формы формулы Е(@) осу- 
ществляется расщепление компонент ее дизъюнктивного представления путем 


п 
умножения их на \/ РК. Эквивалентность такого преобразования формулы ЁЕ(1) 
= 
показана в [15]. Результат расщепления компоненты определяется дизъюнктивным 
представлением полученного произведения, удовлетворяющим условию ортогональ- 
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ности. Расщепления компоненты РЁ (#-1)&/(0) не происходит, если в таком дизъюнктив- 
ном представлении произведения все компоненты имеют левую часть Е(Е-1). Процесс 
продолжается до тех пор, пока на очередном шаге ни одна из компонент не будет 
расщеплена. Описанный метод синтеза реализован в виде команды «4ча» в системе 
синтеза и верификации дискретных устройств МУЗ, разработанной в Калифорний- 
ском университете, в Беркли, США (В#р://\у\у\.есе.рах.еди/-аапппИлтуз15/ехе). 

В [16] предложен метод синтеза инициального автомата, не требующий какого- 
либо специального представления формулы Ё(1. Он может применяться как к д.н.ф., 
так и к любому другому представлению формулы. Результат синтеза получается 
путем индуктивного построения автомата в соответствии со структурой формулы 
Е(®), т.е. элементарные акты синтеза соответствуют основным логическим опера- 
циям, применяемым при построении формулы Ё(®. Сходный метод синтеза 
используется в системе МОМА [17|], реализующей разрешающую процедуру для 
слабой теории второго порядка функции следования (\/51$). Однако там язык 
спецификации интерпретируется на множестве конечных слов и в качестве автомата 
рассматривается модель распознавателя (автомат Бюхи). 

Ограничение выразительных возможностей языка спецификации средствами 
первого порядка, а также ограничение класса используемых формул позволили 
построить достаточно эффективные процедуры синтеза, практически не сокращая 
класса специфицируемых автоматов. 


Синтез открытых систем 


Для возможности корректной реализации реактивного алгоритма (представ- 
ляющего собой открытую систему) одной внутренней непротиворечивости специ- 
фикации недостаточно. Непротиворечивость спецификации гарантирует только то, 
что существует совместное поведение внешней среды и синтезируемого алгоритма, 
которое удовлетворяет спецификации. Поскольку поведение среды не может быть 
регламентировано, необходимо, чтобы на любое допустимое ее поведение алгоритм 
реагировал таким образом, чтобы их совместное поведение удовлетворяло 
спецификации. Обычно соответствующая проблема синтеза формулируется как 
нахождение выигрышной стратегии в бесконечной игре между средой и систе- 
мой [18]. Эта стратегия представляется в виде бесконечного размеченного дерева. 
Для описания всех допустимых (Т.е. удовлетворяющих спецификации) стратегий 
строится автомат Рабина над бесконечными деревьями [19], такой, что множество 
всех бесконечных деревьев, распознаваемых автоматом, соответствует всем 
стратегиям, реализующим исходную спецификацию. Таким образом, проверка 
реализуемости спецификации сводится к проверке непустоты языка, представ- 
ляемого автоматом Рабина. Алгоритм проверки непустоты автомата Рабина 
позволяет получить конечное представление бесконечного дерева, распознаваемого 
автоматом, которое затем преобразуется в синтезируемый алгоритм. В целом такая 
процедура синтеза требует времени, выражающегося в виде двойной экспоненты от 
размера спецификации. Приведенная оценка вряд ли может быть улучшена, 
поскольку, как показано в [20], проблема синтеза в рассмотренной постановке полна 
в классе 2ЕХРТИМЕ. В [21] получено решение проблемы синтеза с существенно 
лучшей оценкой сложности за счет ограничения языка спецификации подмно- 
жеством СК(1) темпоральной логики ГТГ. 

В рассматриваемом подходе к доказательному проектированию реактивных 
алгоритмов проблема реализуемости спецификации формулируется в терминах 
понятия согласованности автоматов, описывающих управляющую часть алгоритма и 
внешнюю для нее среду [22]. Согласованность определяется как свойство 
циклической композиции автоматов, задающей способ их взаимодействия. 
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При формализации проблемы согласованности рассматриваются частичные 
недетерминированные Х-У-автоматы Мура вида А = <Х, 7, О, Хх, и>, гдех: ОхХ-> 2°и 
и: О —> У- соответственно функции переходов и выходов. Если |Х| = 1, то автомат А 
называется автономным 7-автоматом, который определяется четверкой <У, О, Хх, и>. 
Функция переходов такого автомата имеет вид хл: О — 2°. 

Пусть А = <Х, У, ОА, ХА, ВА> и В = <У7, Х, Ов, Дв, ив> -— частичные 
недетерминированные соответственно Х-7- и У—Х-автоматы Мура. 

Симметричная циклическая композиция автоматов А и В представляет собой авто- 
номный недетерминированный /-автомат Мура С = <, Ос, Хс, ис>, где Х = ХхУ у УХХ, 
Ос = ОдхОв < ОвхОА, а функция переходов с и функция выходов ис определяются 
следующим образом. Для всех 4 Е ОлибЕ Ов 

Хс(Ч, 5) = {(5, 41) | 41 Е Хд(4, Ив(5)}}, 

Хс(5, 4) = (4, 51) [51 © Хв(5, Мл(9))}, 

ис(а, 5) = (иА(а), ив(5)), №сб5, 4) = (в(), н ^(9)). 

Два циклических частичных детерминированных Х-7- и У_Х-автомата Мура 
называются согласованными, если их симметричная циклическая композиция имеет 
циклический подавтомат. 

Понятие согласованности недетерминированных автоматов связано с понятием 
циклической детерминизации недетерминированного автомата [23]. 

Частичный недетерминированный циклический Х-У-автомат Мура А согла- 
сован с частичным недетерминированным циклическим У—Х-автоматом Мура В, если 
существует циклическая детерминизация автомата А, согласованная с каждой цикли- 
ческой детерминизацией автомата В. 

Такое определение неконструктивно, поскольку количество детерминизаций 
автомата бесконечно, поэтому в [24|] оно переформулируется в терминах 
конструктивного свойства параллельной циклической композиции. Решение пробле- 
мы рассматривается для случая, когда оба взаимодействующих автомата специ- 
фицированы множествами дизъюнктов. В основе соответствующего алгоритма 
лежат две процедуры: удаление из управляющей компоненты проектируемого 
алгоритма состояний, задаваемых формулой языка Г, и проверка непроти- 
воречивости (пополнение) множества дизъюнктов. Первая из этих процедур, так же 
как и вторая, реализована в виде преобразования множества дизъюнктов. 
Существенной особенностью метода, обеспечивающей его эффективность, является 
то, что не требуется рассматривать произведение взаимодействующих автоматов, 
т.е. объединение соответствующих множеств дизъюнктов. 

Решение этой задачи состоит не только в проверке согласованности соответ- 
ствующих автоматов, но и в преобразовании спецификации таким образом, чтобы 
все удовлетворяющие ей автоматы были согласованы со средой, после чего может 
применяться любой из имеющихся алгоритмов синтеза. Если же исходная специ- 
фикация проектируемого алгоритма не согласована со спецификацией среды, то 
реализация алгоритма не возможна. 


Верификация 


Хотя рассматриваемый подход к доказательному проектированию реактивных 
алгоритмов основан на методах синтеза, гарантирующих точное соответствие 
полученного алгоритма его исходной спецификации, это не исключает необходимости в 
ряде случаев выполнять формальную верификацию синтезированного алгоритма. Во- 
первых, неполнота или неточность исходной спецификации могут привести к тому, что 
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полученный алгоритм не будет обладать необходимым свойством, что может быть 
обнаружено с помощью верификации. Во-вторых, при проектировании многоагентных 
систем каждый из взаимодействующих между собой агентов специфицируется в 
отдельности, и соответствие алгоритмов функционирования агентов их спецификациям 
не гарантирует требуемого поведения всей системы в целом. Поэтому необходима 
верификация совместного поведения агентов. 

Верификация формально синтезированных алгоритмов имеет свои особен- 
ности: 1) не требуется построения автоматной модели верифицируемой системы 
(она получается в результате синтеза) и 2) не нужно верифицировать свойства 
алгоритма, определяемые исходной спецификацией. В качестве языка для 
спецификации верифицируемых свойств алгоритма используется усовершенство- 
ванный вариант темпоральной логики с линейным временем, а верификация 


осуществляется методом проверки выполнимости формулы на модели (то4е| 
сНескК1пэ) [25]. 


Заключение 


В статье в сжатой форме излагаются основы доказательного проектирования 
реактивных алгоритмов исходя из их декларативной спецификации в языке логики 
первого порядка с одноместными предикатами. Такой подход гарантирует получение 
процедурного представления алгоритма, удовлетворяющего всем требованиям к его 
функционированию, сформулированным в виде исходной спецификации. Основная 
идея предложенного подхода состоит в том, чтобы определить такие ограничения на 
синтаксис и семантику языка спецификации, которые позволяют построить формальные 
методы проектирования реактивных алгоритмов промышленного уровня сложности. 
Возможность получения эффективных процедур проектирования обусловлена просто- 
той выразительных средств языка [, интерпретацией языка на множестве целых, а не 
натуральных, чисел, спецификацией инициальных автоматов как подавтоматов 
неинициальных автоматов. Ограничение выразительных возможностей языка имеет не 
принципиальный характер, поскольку любой автомат может быть специфицирован в 
языке /. за счет введения дополнительных предикатных символов. Интерпретация языка 
на множестве целых чисел делает формулы вида У) инвариантными относительно 
сдвига во времени, что существенно упрощает методы проверки непротиворечивости 
формул. Этой же цели служит выполнение всех преобразований в процессе 
проектирования над неинициальными спецификациями, в которых используются 
атомарные формулы только вида р({ + ^). Это устраняет необходимость унификации в 
процессе резолюционного вывода. 

Одной из возможных нерешенных проблем является разработка такой 
методологии построения исходной спецификации, которая бы облегчила написание 
спецификации, отражающей все необходимые требования к функционированию 
алгоритма, а также формулировку самих этих требований. Работа в этом направлении 
начата, и получены некоторые результаты, не приведенные в настоящей статье. 
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А.М. Чеботарьов, А.Л. Головинський 

Доказове проектування алгоритм в функцщюнуванняя реактивних систем 

Описуеться шдх1д до доказового проектування реактивних алгоритм!в, що розвиваеться в Гнститут! 
к1бернетики 1м. В.М. Глушкова НАН Украни. Розглядаються основн! проблеми, як! виникають при 
проектуванн! реактивних алгоритмив, що спецификован! логчною мовою Г, та методи 1х розв’язання. 


А.М. СпеБотагеу, А.Г. бооут5Му 

Ргоуа у-соггесй Оезоп оЁ Ао тб 07 Веасйуе Зует$ Еипсйотте 

Ап арргоасВ ®ю ргоуаЫу-соггес" 4ез1еп оЁ теасйуе а|еогИилз 1$ дезспЬе4, ай Ваз Бееп 4еуе]оре4 а ше 
ОТазКоу шзййие оЁ СуБегейс$ оЁ фе ОКгапиап Аса4ету оЁ За1епсез. ТВе Баз1с ргоегл$ амзте ш Фе 
Чез1юп оЁтеасйнуе а[еогИил$ зрес1Йе4 шт \е [оглса!| 1апечазе Г, ап4 пефод$ 1ю зоуе ет аге сопз14егед. 
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